NIS (Network Information System)
Das Network-Information-System (NIS) gestattet die zentralisierte Verwaltung von administrativen Daten für Linux/Unix-Systeme. Die Daten werden auf einem NIS-Server in Datenbanken vorgehalten und können über RPCs von den Clients genutzt werden.
www.linux-nis.org
- entwickelt von SUN, früher yp(yellow pages), aber ist identisch(nur wegen der Post), RPC
- Benutzerinformationen: Name, UID, Kennwort, homedir, ...(/etc/passwd)
- Gruppeninformationen:Gruppenname, GID, Mitglieder, ...(/etc/group)
- Hostinformationen: fqdn, IP- Adressen<->Rechnernamen, Alias-Namen(/etc/passwd), Konflikt mit DNS
- Netzwerkinformationen: Ip-Adressen<->Netzwerkmaske(/etc/networks)
- /etc/services, /etc/rpc, /etc/protokols(protokollNr.<->P.Namen, /usr/lib/alias(mailaliasse)
NIS ist Sicherheitslücke, passwd wird auf Clients übertragen. RPC in der Firewall blocken. VPN einrichten.
NIS-Server
nscd network cache deamon, wenn deamon läuft, wird Vieles gecached, schlecht zum Testen
ypserv-2.11
www.linux-nis.org
ypserv
Mehrere NIS-Server: backup, Lastverteilung, Master und Slave.
NIS+ ist Weiterentwicklung von SUN. Hierarchiches Systen. Ist nicht mit NIS kompatibel. NIS+ gibt's nicht für Linux.
NIS-Domain heißt oft genau wie DNS-Domain, obwohl sie nichts miteinander zu tun haben.
hosts Datenbank liest aus /etc/hosts
passdw Datenbank liest aus /etc/passwd
group Datenbank liest aus /etc/group
Nach Änderungen wird die Datenbank neu generiert.
ypcat passwd.byname Anzeige der Datenbankdatei des Servers
NFS-Server und NIS-Server sollten auf einem Server liegen, wegen der home-Verzeichnisse, oder home-Verzeichnisse entsprechend mounten.
rpc.yppasswdd - Deamon zum updaten des Passwortes vom Client aus. Die SuSE passwd, bzw. yppasswd greifen auf den Deamon des Servers zu.
NIS-Server - Einrichtung
ypserv installieren Paketinstallation(master oder der Einzige), oder source
cd /usr/src, tar -xjf "datei", cd "datei", ./configure, make, make install
vi /var/yp/securenets anpassen, ev. aus Quell/etc/-Verzeichnis kopieren
#Netzwerkmaske Netzwerkadressen Erklärung, alles frei für:
255.0.0.0 127.0.0.0 localhost
0.0.0.0 0.0.0.0 alle, diese Zeile streichen
255.255.255.192 192.168.8.128 dieses Netz zufügen
vi /etc/ypserv.conf anpassen oder nicht?erstmal lassen, ev. aus Quell/etc/-Verzeichnis kopieren
/etc/init.d/portmap start Portmapper starten, wenn nötig(ps -ax), RPC-Anfragen bearbeiten
dommainname "NIS-Name" NIS-Domäne setzen
echo "NIS-Name" > /etc/defaulftdomain NIS-Domäne permanent eintragen, dommainname NIS-NAME
/usr/sbin/ypserv NIS-Server-deamon starten, ypserv -d für debug
/var/yp/Makefile bearbeiten
Zeile: all: passwd group rpc services netid
erstzen: all: passwd group kein \, shadow und gshadow wird sowieso übertragen
/usr/lib/yp/ypinit -m Datenbanken erzeugen(-m für Master), weitere Slave-NIS-Server eintragen
/usr/lib/yp/ypinit -s auf Slave werden Datenbanken erzeugt, Master wird eingetragen
ypserv starten -> NIS-Domain läuft
make -C /var/yp bei neuem user, Gruppe oder anderen Änderungen, makefile aus /var/yp
Anpassen der Dateien:
/etc/passwd
/etc/shadow
/etc/group
/etc/gshadow
/var/yp früher /etc/yp Inhalt der Datenbanken, etc.
/var/yp/NIS-DOMAIN-NAME/ in diesem Verzeichnis werden die Datenbanken abgelegt
DBM-DataBaseMaps-Format ist das indizierte Datenbankformat für NIS und Mail, wird aus Textdateien gebildet. Dabei können mehrere Daten gleichzeitig beantwortet werden.
NIS-Master-Slave-Betrieb
Master-Slave-Betrieb ist notwindig, wenn der Client auf den Server mit Broadcast zugreifen will und ein Router dazwischen steht.
vi /var/yp/Makefile NOPUSH=false
Master-Server Slave-Server Client
vi usr/lib/yp/ypinit bei Problemen
Zeile: maps='$YPBINDIR/yphelper.... ersetzen
mit: #maps='ypwich -m |... eine Zeile höher
ypwich -m liefert NIS-fqdn des Masters
/usr/lib/yp/ypinit -s "NIS-fqdn des Masters"
-> Eintrag der DB in /var/yp/"NIS-Master-Name"/*
vi /etc/yp.conf (siehe NIS-Client)
rpc.ypxfrd /usr/lib/yp/ypxfr -s "Domainname"
ypwhich -m test der Datenbank
ypinit -m /usr/lib/yp/ypinit -s server-host.domain(Aktualisierung d. DB)
/var/yp/ypservers-make
Nur bei make -C /var/yp wird der Server die cat /Aktualisierung(neuer user) des Slave informiert.
ypserv, ypbind ->update-DB-> ypbind, ypserv ypbind
<-update-DB, cronjob<- ypxfr holt DBM's vom Master kein cache, außer nscd
ypcat -h 127.0.0.1 passwd.byname Test, ob das update auf dem Slave-Server funktioniert hat.
Scripte für Slave-Server: crontab: 20 * * * * root /usr/lib/yp/ypxfr_1perhour Slave holt sich DB's.
NIS-Client
vi /etc/yp.conf domain "nisdomain" server "hostname", welcher Server soll angesprochen werden?
ypbind
libc6 Bibliothek für rpc-calls, oder glibc, oder Andere, ist normalerweise vorhanden
Broadcast: gibt's einen NIS-Server? Der erste NIS-Server wird genommen. - oder schaue in Konfigurationsdatei nach einen bestimmten Server.
NIS-utils ist NIS+ -Client-Unterstützung, wird normalerweise nicht benutzt.
/etc/hosts kann verdeckt werden durch NIS-Server-Daten, kann ergänzt werden
/etc/passwd kann verdeckt werden durch NIS-Server-Daten, kann ergänzt werden
/etc/group kann verdeckt werden durch NIS-Server-Daten, kann ergänzt werden
/etc/ypbind Konfigurationsdatei
vi /etc/nsswitch.conf Zeile passwd + group bearbeiten, nis files, statt compat, Reihenfolge der Abfrage
NIS-Client - Einrichtung
rpm -qa | grep "yp" ist ypbind vorhanden, sonst Paket ypbind installieren
domainname "NIS-Name" NIS-Domain einstellen
vi /etc/init.d/ypbind XDOMAINNAME="cat /etc/defaultdomain", also
echo "NIS-Name" > /etc/defaultdomain Domainname permanent eintragen
/etc/init.d/portmap start Portmapper starten, ist normalerweise gestartet
mkdir /var/yp Verzeichnis anlegen, wenn es noch nicht existiert
rpcinfo -p localhost Kontrolle, ob yp-Dienst registriert wurde
vi /etc/yp.conf domain schulung-NIS broadcast, und-oder domain NIS-schulung 192.168.0.10
domain "nisdomain" server "IP-Adresse"
vi /etc/nsswitch.conf Zeile passwd + group bearbeiten: nis files, statt compat, Reihenfolge der Abfrage
Beispiel: passwd: files nis – Reihenfolge /etc/passwd, nis
passwd: nis [NOTFOUND=return] files – außer nis keine weiter Abfrage, außer boot
/usr/sbin/ypbind Client starten, ypbind -d für Debug
ypcat passwd guckt in /var/yp/nicknames
ln -s /etc/init.d/ypbind /etc/init.d/rc5.d/S99ypbind das Gleiche für rc3, wird zum Lauf des rc-level mitgestartet
ln -s /etc/init.d/ypbind /etc/init.d/rc5.d/K01ypbind ypbind wird als Erstes gekillt, wenn rc-level verlassen wird
Wenn NIS-Server das Home-verzeichnis auf NFS-Server verweist, sollten die clients in der /etc/fstab das NFS-Verzeichnis mounten.
NIS und Windows
Suche nach Microsoft Knowledge Base Article – 324083, bzw. Q324083.
Registry Change
Set the value of 'enableplaintextpassword' to 1 (hexadecimal) in:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters\
smb.conf
encrypt passwords = no
You are already using NIS so your passwords are unencrypted.
Hauptseite